Ein Beitrag der RFC Professionals GmbH
Am 22.03.2017 hat die BaFin die „Bankaufsichtlichen Anforderungen an die IT (BAIT)“ zur Konsultation bis 05.05.2017 gestellt. Ein Termin zur Finalisierung wurde nicht genannt, es wird aber mit einer finalen Veröffentlichung noch in 2017 gerechnet.
Hintergrund der Konkretisierung der bisherigen Anforderungen aus § 25a Abs. 1 Kreditwesengesetz (KWG) i.V.m. den Mindestanforderungen an das Risikomanagement (MaRisk) ist die Notwendigkeit, der sich aus der Digitalisierung im Finanzsektor beschleunigt veränderten Anforderungen Rechnung zu tragen. Ein weiterer Grund ist der Wunsch der Kreditwirtschaft, die generischen Vorgaben, insbesondere bezogen auf die Informationstechnologie, zu detaillieren.
Mit den „Bankaufsichtlichen Anforderungen an die IT“ (BAIT), die sich primär an die Geschäftsleitungen der Kreditinstitute richten, wollen Deutsche Bundesbank und BaFin die Erwartungshaltung der Aufsicht an die Institute transparent darstellen. Kernziel ist es, dem Management der Institute auf der Grundlage des § 25a Abs. 1 KWG einen flexiblen und praxisnahen Rahmen für die Ausgestaltung der Informationstechnik der Institute, insbesondere auch für das Management der IT-Ressourcen und für das IT-Risikomanagement, vorzugeben. Zudem werden die Anforderungen der §§ 25a Abs. 3, 25b KWG (Risikomanagement auf Gruppenebene sowie Auslagerung) konkretisiert. Die in den MaRisk enthaltenen Anforderungen bleiben davon unberührt und werden durch die BAIT konkretisiert. Das Proportionalitätsprinzip bleibt unberührt.
Im Detail gliedern sich die Anforderungen in acht Bereiche. Neben einer IT-Strategie, welche die Anforderungen nach AT 4.2 der MaRisk zu erfüllen hat, konkretisieren die BAIT die Themen IT-Governance, Informationsrisikomanagement, Informationssicherheitsmanagement und Benutzerberechtigungsmanagement. Weitere Konkretisierungen finden in den Bereichen IT-Projekte, IT-Betrieb inklusive Datensicherung und dem Bereich der Auslagerungen und bei sonstigem Fremdbezug von IT-Dienstleistungen statt.
Die in den BAIT konkretisierten Themenbereiche sind nach Regelungstiefe und –umfang nicht abschließender Natur. Weiterhin tragen die prinzipienorientierten Anforderungen des Rundschreibens zu den BAIT – analog zu den MaRisk – dem Proportionalitätsprinzip Rechnung. Jedes Institut bleibt folglich auch insbesondere jenseits der Konkretisierungen der BAIT gemäß § 25a Abs. 1 Nr. 4 KWG i. V. m. AT 7.2 Tz. 2 MaRisk verpflichtet, bei der Ausgestaltung der IT-Systeme und der dazugehörigen IT-Prozesse grundsätzlich auf gängige Standards sowie auf den aktuellen Stand der Technik abzustellen. Experten schätzen die Änderungen als erheblich ein und bewertet die damit verbundenen Umsetzungsaufwände in Abhängigkeit zu einer voraussichtlich kurzen Implementierungszeit hoch.
Eine ausführliche Stellungnahme der Experten von RFC Professionals finden Sie hier als Download
sowie unter www.rfc-professionals.com. Oder diskutieren Sie mit Experten aus der Branche am 29. Juni im Rahmen eines Business Breakfasts über das Thema BAIT.